CrimsonIAS Backdoor

Une nouvelle menace de porte dérobée basée sur Delphi qui est active depuis au moins 2017 a été découverte par les chercheurs. S'il est entièrement déployé, le logiciel malveillant permet aux attaquants d'exécuter des commandes arbitraires en exécutant des outils de ligne de commande, en exfiltrant des fichiers sélectionnés ou en déposant des fichiers supplémentaires sur la machine compromise. L'analyse a révélé que CrimsonIAS Backdoor présente un trait particulier qui n'est pas souvent vu parmi ce type de malware - au lieu d'agir comme une balise comme une balise la plupart des portes dérobées Windows, la CrimsonIAS Backdoor fonctionne uniquement en mode d'écoute en attendant les connexions entrantes. Cela indique que la machine ciblée doit être ouverte à l'Internet public ou que les attaquants ont un autre moyen d'accéder au réseau de la victime.

Bien que cela ne soit pas suffisant pour constituer une preuve solide, les chercheurs ont découvert que plusieurs caractéristiques de la porte dérobée CrimsonIAS sont similaires à des aspects d'échantillons PlugX corrompus utilisés dans les opérations du groupe de hackers Mustang Panda (également connu sous le nom de BRONZE PRESIDENT et RedDelta). On pense que le groupe est un acteur d'espionnage basé en Chine qui concentre ses activités principalement sur les cibles de la Mongolie, du Vietnam et de Hong Kong. Parmi ses cibles habituelles figurent les organisations non gouvernementales (ONG), les entités politiques et les services répressifs. Les trois principales similitudes entre les exemples CrimsonIAS Backdoor et MustangPanda PlugX sont l'utilisation d'une clé XOR de 10 octets ajoutée au binaire chiffré, les similitudes de shellcode dans l'en-tête MZ et l'utilisation d'une fonction de chargeur exportée.

Les pirates derrière CrimsonIAS Backdoor ont régulièrement introduit de nouvelles techniques dans les capacités de la menace pour suivre le rythme des tendances modernes, bien que le taux d'amélioration ne soit pas suffisant pour dire que CrimsonIAS Backdoor est toujours en développement actif. Le plus grand changement peut être observé dans la manière dont le code corrompu est exécuté. Dans les versions antérieures, la fonctionnalité de porte dérobée était lancée via un service Windows enregistré et lancé via une fonction exportée CPIApplet. Les nouvelles versions de la menace se sont complètement éloignées de cette méthode et utilisent désormais une technique de chargement réfléchissant, une fonctionnalité vue dans plusieurs familles de logiciels malveillants.